Siber güvenlik firması Infoblox, küresel dolandırıcılıkları çalıştırırken ve kötü amaçlı yazılımları yayarken meşru bir işletme olarak poz veren büyük bir çevrimiçi reklam ağı olan “Vane Viper” ı keşfettiğini söyledi.
Bağlı daha önce rapor edilmiş PropellerAds ve ana şirketi Adtech Holding, operasyon yaklaşık on yıldır aktif ve şimdi bugüne kadar görülen en büyük kötü niyetli dolandırıcılıklardan biri olarak adlandırılıyor.
Infoblox tehdidi Intel üç yıldan fazla bir süredir Vane Viper’ı izledi ve operasyona bağlı alanların müşteri ağlarının yaklaşık yarısında ortaya çıktığını buldu. Bu alanlardan bazıları dünyanın en iyi 10.000 web sitesi arasında yer aldı ve bir izleme alanı ilk 1.000’e girdi.
Infoblox’un hackread.com ile paylaşılan soruşturmasına göre, PropellerAds sadece kötü aktörler tarafından istismarın bir kurbanı değildi, aynı zamanda aktif olarak kötü amaçlı yazılımlar sunuyordu. Test sırasında, Infoblox araştırmacıları Vane Viper’ın trafik dağıtım sisteminden bağlantıları izledi ve pervane tahtlarından doğrudan kötü amaçlı yazılım yükleri aldı. Infoblox, bu kanıtın ihmalden ziyade karmaşıklığı kanıtladığını savunuyor.
“Pervaneler geçmişte başkaları tarafından kötü niyetli kampanyalarda rol oynamış olsa da, istismar hizmetinden suçlamaya neden olduklarını kanıtlamış olsa da, sonuçlarımıza hafifçe gelmedik.”
“Pervane maddelerinin sadece platformlarının cezai istismarına“ kör bir göz ”haline getirdiğine dair zorlayıcı kanıtlar bulduk, aynı zamanda aşağıda açıklanan göstergeler-orta ila yüksek güvenle-pervanelere atfedilen altyapıdan kaynaklanan birkaç reklam kampanyasının ortaya çıktığını gösteriyor.”
Infeblox Tehdidi Intel
Infoblox ayrıca, geçtiğimiz yıl altyapısına bağlı bir trilyondan fazla DNS sorgusu gözlemledi ve 60.000’den fazla alana yayıldı. Bu alanların çoğu kısa ömürlü, sadece günlerce aktifken, diğerleri devam eden kampanyaları desteklemek için yıllarca canlı kalıyor. Grup toplu alan kayıtlarını kullanır, Push bildirim kötüye kullanımı ve gizleme Yayından çıkarken operasyonları canlı tutmak.
Soruşturma ayrıca Vane Viper’ı daha önce alıntılanan şirketler olan Webzilla ve XBT Holdings’e bağlıyor. Rusya’nın Methbot (aka Boaxxe ve Miuref) reklam sahtekarlığıDezenformasyon çabaları ve korsan platformları.
Ayrıca, kurumsal kayıtlar, Rus vatandaşlarına, kumar işletmelerine ve yetişkin içerik işletmelerine bağlantılarla açık deniz kayıtları ve opak sahiplik katmanlarını göstermektedir. Bu üst üste binen bağlantılar, Infoblox, operasyonu hesap verebilirlikten koruyan “makul bir inkar edilebilirlik” oluşturuyor.
Bu, ADTech bağlantılı ilk tehdit grubu Infoblox’un bildirdiği ilk değil. Geçen ay şirket profilli İçkilibenzer koşullar altında 2015 yılında ortaya çıkan başka bir operasyon. Vane Viper gibi, Rus konuşmacılar tarafından işletilen ADTech şirketleri kümesi olarak çalışır ve kötü amaçlı yazılım teslimat motorları olarak ikiye katlanan trafik dağıtım sistemleri inşa etmiştir.
“Siber suçlular sadece Adtech platformlarından yararlanmıyor,” dedi Dr. Renée BurtonInfoblox’ta Intel Tehdit Başkan Yardımcısı. “Bazen onlar Adtech platformları.”
Reklamverenler ve yayıncılar, Infoblox’un bulgularını, birlikte çalıştıkları reklam ağlarını dikkatlice incelemek için bir uyarı olarak almalıdır. Günlük kullanıcılar için tavsiye daha basit ama aynı derecede önemlidir: tanıdık olmayan veya güvenilmeyen sitelerdeki bağlantıları veya reklamları tıklamak konusunda dikkatli olun.
Infoblox’s tam raporTeknik detaylar ve alan verileri dahil, tehdit Intel ekibi aracılığıyla mevcuttur.